Komisches Erlebnis

freakazoid · Dez 10, 2006

hoi,

ich hatte gerade ein sehr merkwürdiges Erlebnis. Ich höre MP3s.
Wundere mich warum schon 3 mal hintereinander das selbe Stück läuft.
Schaue in die Playlist. Merke das die Verweise zu den restlichen Dateien nicht mehr existent sind. Schaue auf der Festplatte nach. Merke das meine MP3-Sammlung bis auf die Hälfte dezimiert ist. 8o
Schmeiß sofort AntiVir an. Weil ich vermute das es ein Virus ist. Lese im Netz dann, dass es sich auch um einen Hackerangriff handelt könnte.

http://www.mp3werk.de/forum/thread.php?threadid=2615
http://www.winfuture-forum.de/lofiversion/index.php?t39435.html

Woraufhin ich Wireshark anschmeiße. Daraufhin fährt sich der PC von Geisterhand einfach herunter. Was war das?
Jetzt versuch ich erstmal zu retten, was noch zu retten ist.
Dabei dachte ich, dass ich durch meine Firewall im Router ganz gut geschützt bin.
Fuck! Was hat es mit solchen Angriffen auf sich? Ist das bereits die deutschlandweite Umsetzung, neuartiger Hausdurchsuchungen?

Lg freaka

b4ck · Dez 10, 2006

hijackthis laufen lassen hört sich für mich nach trojaner an :O
und firewall + router nützen nix bei reverse connection

freakazoid · Dez 10, 2006

Code:

Logfile of HijackThis v1.99.1
Scan saved at 17:51:33, on 10.12.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Entwicklungsumgebung\xampp\apache\bin\apache.exe
C:\WINNT\System32\svchost.exe
C:\Entwicklungsumgebung\xampp\mysql\bin\mysqld-nt.exe
C:\Programme\NMapWin\bin\nmapserv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Entwicklungsumgebung\xampp\apache\bin\apache.exe
C:\Dokumente und Einstellungen\diogenes\Eigene Dateien\Downloads\hijackthis_199\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [JeticoPFStartup] "C:\Programme\Jetico\Jetico Personal Firewall\jpf.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [FreeRAM XP] "C:\Programme\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe" -win
O4 - HKCU\..\Run: [TrueCrypt] "C:\Programme\TrueCrypt\TrueCrypt.exe" /q preferences /a favorites
O4 - Global Startup: Privoxy.lnk = C:\Programme\Privoxy\privoxy.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.5.0) - 
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_03) - 
O17 - HKLM\System\CCS\Services\Tcpip\..\{0D92A217-E5CE-4874-AE69-92573DF9E1F9}: NameServer = 213.191.74.18,213.191.74.19
O17 - HKLM\System\CS1\Services\Tcpip\..\{0D92A217-E5CE-4874-AE69-92573DF9E1F9}: NameServer = 213.191.74.18,213.191.74.19
O17 - HKLM\System\CS2\Services\Tcpip\..\{0D92A217-E5CE-4874-AE69-92573DF9E1F9}: NameServer = 213.191.74.18,213.191.74.19
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2 - Unknown owner - C:\Entwicklungsumgebung\xampp\apache\bin\apache.exe" -k runservice (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - C:\Entwicklungsumgebung\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: Jetico Personal Firewall server - Jetico, Inc. - C:\Programme\Jetico\Jetico Personal Firewall\jpfsrv.exe
O23 - Service: mysql - Unknown owner - C:\Entwicklungsumgebung\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: NMap - Unknown owner - C:\Programme\NMapWin\bin\nmapserv.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

Auswertung, hat nur zu guten Ergebnissen geführt. ?(

blobbo · Dez 10, 2006

Hast du deinen 2. Link bis zum Ende gelesen?
Das klingt doch plausibel als Grund:
http://www.computerbase.de/news/internet/hacker_sicherheit/2005/april/wurm_w32_nopirb_mp3s/

t3rr0r.bYt3 · Dez 11, 2006

naja, Sony Kopierschutz, die 2te

freakazoid · Dez 11, 2006

Ich nutze kein p2p und natürlich hab ich mir die Links bis zum Ende durchgelesen.

Um sich zu schützen, sperrt Nopir.B den Zugriff auf die Systemsteuerung und deaktiviert den Task-Manager sowie die Registrierungs-Tools.

Kann beides noch nutzen.

An einen Virus, Wurm hatte ich ja zu erst gedacht. Bin aber nicht fündig geworden mit AntiVir.

edit: Ich hab das Ganze nochmal mit Knopiciillin geprüft und dabei festgestellt, dass
edit: svchost.exe (TR/Contact.1)
edit: smss.exe (Backdoor)
edit: csrss.exe (Backdoor)
edit: infiziert sind.
edit: Die infiziert svchost befand sich auch anstatt in "%SystemRoot%\System32"
edit: in "C:\WINNT\AppPatch\Patches32".
edit: Mir ist gestern schon aufgefallen, dass komischer Weise svchost zweimal lief.
edit: Wollte es mir auch mal näher anschauen, zu spät, wie ich jetzt weiß.
edit: Wie soll ich weiter vorgehen? Bis jetzt hab ich Dateien in die Quarantäne geschickt.
edit: Wie kann ich mich davor schützen?

ERit · Dez 11, 2006

Ist das bereits die deutschlandweite Umsetzung, neuartiger Hausdurchsuchungen?

omg neiin! die regierung ist auf einmal in der lage, plattform unabhängig jeden beliebigen rechner auf legalem weg mit hilfe von spezialeinheiten der polizei (elite hacker) zu durchsuchen.
glaub doch so etwas nicht bitte. angeblich bestätigen das politiker ja auch noch. naja, dann bin ich ja in österreich duch und duch sicher. :]
lg

freakazoid · Dez 11, 2006

Original von ERit

Ist das bereits die deutschlandweite Umsetzung, neuartiger Hausdurchsuchungen?

Zum Vergrößern anklicken....

omg neiin! die regierung ist auf einmal in der lage, plattform unabhängig jeden beliebigen rechner auf legalem weg mit hilfe von spezialeinheiten der polizei (elite hacker) zu durchsuchen.
glaub doch so etwas nicht bitte. angeblich bestätigen das politiker ja auch noch. naja, dann bin ich ja in österreich duch und duch sicher. :]
lg

War ja nicht wirklich ernst gemeint.

War nur ein wenig in Rasche und hab mich zugleich über die Androhung von Schäuble, Beckstein und Co. aufgeregt.

lightsaver · Dez 11, 2006

Kann beides noch nutzen. An einen Virus, Wurm hatte ich ja zu erst gedacht. Bin aber nicht fündig geworden mit AntiVir.

das muss gar nichts heißen, da es kein antivirenprogramm gibt, was alles findet. zudem werden die sachen immer rafinierter versteckt.

edit: Mir ist gestern schon aufgefallen, dass komischer Weise svchost zweimal lief.
edit: Wollte es mir auch mal näher anschauen, zu spät, wie ich jetzt weiß.

svchost läuft eigentlich immer mit mehreren instanzen. bei mir im augenblick sogar 7 mal und das heißt auch nichts schlimmes ;-) aber wenn es aus einem anderen verzeichnis ist, dann ist es natürlich schon kritisch. da hilft dir aber der normale taskmanager eh nicht um das zu entdecken, da brauchst du schon z.b. den processexplorer von sysinternals.

edit: Wie soll ich weiter vorgehen? Bis jetzt hab ich Dateien in die Quarantäne geschickt.
edit: Wie kann ich mich davor schützen?

vorsichtig sein was du öffnest und regelmäßig scannen. besonders auch mal mit tools die nicht von windows aus gestartet werden

freakazoid · Dez 11, 2006

das muss gar nichts heißen, da es kein antivirenprogramm gibt, was alles findet. zudem werden die sachen immer rafinierter versteckt.

War speziell auf Nopir.B bezogen, welchen inzwischen eigentlich jedes AntiVir finden sollte. Dass es vllt ein anderer Virus sein könnte, ist mir bewusst. Teste momentan auch weiter.

svchost läuft eigentlich immer mit mehreren instanzen. bei mir im augenblick sogar 7 mal und das heißt auch nichts schlimmes ;-) aber wenn es aus einem anderen verzeichnis ist, dann ist es natürlich schon kritisch. da hilft dir aber der normale taskmanager eh nicht um das zu entdecken, da brauchst du schon z.b. den processexplorer von sysinternals.

Ich bin mir im Klaren, dass svchost auch mehrmals laufen kann. Allerdings lief es bei mir zuvor nur einmal und aufeinmal zweimal, was mich stutzig gemacht hat. Deswegen wollte ich die Prozesse überprüfen. Die Auswertung der svchost-Prozesse dauert noch an.

vorsichtig sein was du öffnest und regelmäßig scannen. besonders auch mal mit tools die nicht von windows aus gestartet werden

Bin ich normalerweise auch. Muss ich wohl in Zukunft noch vorsichtiger sein.
Habe mich gestern noch dazu entschlossen Windows nur noch außerhalb des Netzwerkes einzusetzen. Die Gefahren einer Vireninfektion besteht zwar weiterhin ist aber um Längen kleiner. Über die Jahre hab ich es immer mal wieder mit Windows versucht, bin aber immer wieder damit auf die Schnauze gefallen.

Kennt eigentlich wer, den Trojaner TR/Contact.1?
Finde dazu einfach keine Informartionen.